内网安全风险管理与审计系统——工控终端专用版本是面向石油、石化、电力、天然气、先进制造、核设施、钢铁、有色金属、化工、水利枢纽、环境保护、铁路、城市轨道交通、民航、供水、供气及供热等工控行业及相关研究机构推出的针对工程师站、操作员站、服务器的主机安全防护产品。
(一)进程白名单运行控制
监控系统运行情况,只允许运行白名单中的安全可信的进程(正常系统程序、授权的工业软件、办公软件等)。对于运行白名单之外的进程,都将记录或阻断。即使被恶意导入危险程序也将第一时间被阻断,从源头上遏制了恶意代码的运行。
(二)网络白名单运行控制
监控网络连接情况,只允许白名单中的安全可信的进程从指定端口与指定IP的指定端口连入或连出。白名单之外的网络连接,都将记录或阻断。即使终端被接入互联网,也只有安全可信的进程能在白名单内进行限定的网络连入或连出,实现在不更新补丁,不安装杀毒软件的情况下也能限制恶意代码的传播,防止被攻击和被感染。
(三)外接设备白名单运行控制
监控外接输入设备使用情况,只允许白名单中的外接输入设备可以接入使用,白名单之外的外接设备,接入工控终端时将被记录或禁用。避免被非法人员恶意导入木马病毒及修改相关操作指令带来的安全风险。
1. 自学习智能匹配白名单生成技术
针对主机进行周期性学习,可一键生成白名单规则库,根据规则进行智能匹配。区别于实时采样及全盘扫描技术生成的白名单规则,自学习技术能更准确、更高效的帮助用户建立可信白环境,能在最大程度降低误报和误判。
2. 威胁情报集成
集成VenusEye离线威胁情报系统,百亿级别特征库实现对工控终端实时威胁分析及预警。辅助自学习功能,确保只有安全可信的进程和行为列入白名单规则库,避免误将病毒木马等加入白名单的风险。区别于传统杀毒软件高CPU、高内存占用的鉴别方式,所有威胁分析由服务端完成,对终端性能及资源几乎零影响。
3. 轻量化终端带来真正的兼容稳定
采用最简高效理念设计,客户端无UI、无感知,同时终端未采用任何驱动、HOOK及磁盘扫描技术实现,确保终端高效、低资源占用、稳定兼容运行。
4. 全网可视化,终端状态全掌握
实现对工控终端集中管理的同时,系统采用丰富图形化报表对全网终端及动态事件全面展现,确保对工控终端运行情况的全掌握,同时细致到每个终端的安全事件详情记录及细节分析。
工控版定位为工控终端提供全生命周期的安全管理,通过在工控终端安装基于白名单技术的主机安全防护系统,能够防范恶意程序的运行、确保终端的网络连接安全可信、阻断病毒木马的扩散、规范外接输入设备的使用,保障终端的行为始终在受控信任范围内,实现对工控主机全面的安全防护。保障工作站、服务器的可用性、可靠性和可信性。确保:
(一)只有安全可信的进程可以运行;
(二)只有许可的进程才能进行许可的网络连接;
(三)只有允许的外接设备才允许接入使用。
为工控企业构建可控、可靠、可管理的工控网络“白环境”,有效抵御针对工业控制系统的病毒、木马、恶意软件的攻击,保障工控内网及终端的安全运营,为工控企业的安全连续生产保驾护航。